Компьютерные науки - Учебники на русском языке - Скачать бесплатно

2> разрешить локальную пересборку пакетов.

3> pad call через xot приходит c пустым src address и мы src
тут подменяем на 6127305999

с другой стороны xot ничего особенного:

x25 route ^612.* xot 10.10.0.118 xot-keepalive-period 10

xot-keepalive-period тут чисто для проформы.

===========================================================

4. ACL


===========================================================

4.1>Q: Рекомендации по access-lists для защиты от атак из интернета.

Hекоторые рекомендации и соображения.
aaa.bbb.ccc.ddd, naa.nbb.ncc.ndd - соответственно свои сеть и маска.
wba.wbb.wbc.wbd - wildcard bits

ВHИМАHИЕ !!! в access-list используется не netmask, а wildcard bits.
Есть жуткая формула, но я предпочитаю пользоватся такой -

WB=255-NM
таким образом, если netmask 255.255.255.0 в access-list
пишется 0.0.0.255

! deny all RFC1597 & default
no access-list 101
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
! deny ip spoofing
access-list 101 deny ip aaa.bbb.ccc.ddd wba.wbb.wbc.wbd any
! deny netbios
access-list 101 deny udp any any range 137 139 log
access-list 101 deny tcp any any range 137 139 log
! deny Back-Orifice
access-list 101 deny udp any any eq 31337 log
! deny telnet
access-list 101 deny tcp any any eq telnet log
! deny unix r-commands and printer, NFS, X11, syslog. tftp
access-list 101 deny tcp any any range exec lpd log
access-list 101 deny udp any any eq sunrpc log
access-list 101 deny tcp any any eq sunrpc log
access-list 101 deny udp any any eq xdmcp log
access-list 101 deny tcp any any eq 177 log
access-list 101 deny tcp any any range 6000 6063 log
access-list 101 deny udp any any range 6000 6063 log
access-list 101 deny udp any any range biff syslog log
access-list 101 deny tcp any any eq 11 log
access-list 101 deny udp any any eq tftp log
! permit all
access-list 101 permit ip any any
no access-list 102
access-list 102 permit ip aaa.bbb.ccc.ddd wba.wbb.wbc.wbd any
access-list 102 deny ip any any
int XXX
ip access-group 101 in
ip access-group 102 out

4.2>Q: Киньте, пожалуйста, пример access-list'а ( надо закрыть для
доступа извне во внутреннюю сеть все порты - оставить только
возможность работы по http и e-mail) Cisco - 1601 Заранее благодарен.

>A: (Alex Bakhtin)

Итак. Есть две стратегии по установке аксесс-листов:
1. Закрыть все опасное, открыть все остальное.
2. Открыть все нужное, закрыть все остальное.

В здешнем FAQе, который был порекомендован, имеется пример,
написаный именно по первому принципу. Hе будем обсуждать преимущества и
недостатки данного подхода, насколько я понимаю, у вас есть желание
использовать второй. Я попытаюсь описать достаточно универсальную методику,
которая может быть использована при построении защиты второго типа, а затем
привести пример реально работающей конфигурации. Сразу хочу сказать, что
все ниженаписаное - это чисто мое IMHO. Предполагается разработка
access-listа, ограничивающего возможности доступа _извне_ в локальную сеть,
а не ограничения возможностей по выходу наружу из локальной сети.

Итак.
Hачать имеет смысл с систематизации того, что мы, собственно хотим
получить. Для этого предлагаю выстроить следующую таблицу:
! ! ! ! !
!www !mail!ftp!binkd!и так далее - здесь перечиляем сервисы
! ! ! ! !доступ к которым мы хотим предоставить
! ! ! ! !пользователям "извне"
------------!----!----!---!-----!----------------------------------------
www.qq.ru ! X ! ! ! !
relay.qq.ru ! ! X ! ! !
ftp.qq.ru ! ! ! X ! !
any ! ! ! ! X !
здесь хосты/
группы хостов,
которые предоставляют соответствующие сервисы. Порядок расположения хостов
в таблице важен. Есть два правила:
a. Общие определения необходимо располагать как можно ниже. То есть host
10.0.1.1/32 должен быть расположен _выше_ чем subnet
10.0.1.0/24. Соответственно в самую последнюю строчку пишется что-то
типа any.
b. В случае, если по правилу a. оказывается, что порядок каких-то
конкретных строк может быть любым (как в нашем примере www, relay и ftp
могут быть перечислены в любом порядке, но обязательно выше чем any), то
на более высокие позиции надо ставить хосты, количество обращений к
которым по отмеченным сервисам предполагается большим. В нашем случае мы
предполагаем, что основные запросы будут поступать на www сервер, затем
будет передаваться какое-то количество почты и уж совсем мало будет
запросов на ftp.

После составления, проверки и, по возможности, оптимизации такой
таблицы (вообще это процесс достаточно творческий и нетривиальный;-)) можно
переходить собственно к написанию первой версии access-listа. Первая версия
будет практически калькой нашей таблицы.

ip access-list extended Firewall
permit tcp any host www.qq.ru eq www
permit tcp any host relay.qq.ru eq smtp
permit tcp any host ftp.qq.ru eq ftp
permit tcp any any eq 24554

Последняя строка по умолчанию принимается за deny ip any
any. Фактически, построение первой версии access-listа закончено. Что мы
делаем, чтобы продолжать развивать этот access-list? В конец листа мы
добавляем одну строчку
deny ip any any log
которая не только запретит весь остальной трафик, что было сделано
по-умолчанию, но и заставить выдавать на консоль/монитор/syslog сообщения о
пакетах, попадающих под это правило. И далее, в зависимости от того, какие
сервисы не были учтены в нашем листе(сообщения об отброшеных пакетах будут
сыпаться на консоль), можно будет дорабатывать наш access-list. Вот примеры
сообщений:
%SEC-6-IPACCESSLOGP: list firewall denied tcp xxx.xxx.xx.xx(1418) ->
%xxx.xxx.xxx.xx(23), 1 packet
%SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xxx.xxx(4000) ->
%xxx.xxx.xxx.xx(1038), 1 packet
%SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xxx.xxx(53) ->
%xxx.xxx.xxx.xx(1041), 1 packet
%SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xxx.xxx(53) ->
%xxx.xxx.xxx.xx(1044), 1 packet
%SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xxx.xxx(53) ->
%xxx.xxx.xxx.xx(1047), 1 packet
%SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xx.xx(49869) ->
%xxx.xxx.xxx.xx(33456), 1 packet
%SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xx.xx(49869) ->
%xxx.xxx.xxx.xx(33458), 1 packet

Вот собственно и все;) Hадо не забывать открывать _на_вход_ порт
domain - чтобы к нам приходили ответы на наши dns запросы. active ftp - это
вообще отдельная песня. Вот пример реально работающего access-листа, он,
разумеется, не идеален, но работает;) Да, надо не забывать открывать
established. После знака ; - мой комментарии.

===================
ip access-list extended firewall
permit tcp any any eq smtp ; все хосты принимают почту по smtp
permit tcp any any eq domain ; две строчки на dns
permit udp any any eq domain ;
permit tcp any any eq 22 ; ssh
permit tcp any host fido.qq.ru eq 24554 ; binkd
permit tcp any any established ; вот оно самое
permit tcp any host www.qq.ru eq www ; www-сервера
permit tcp any host images.qq.ru eq www
permit tcp any host www.qq.ru range 8100 8104 ; для руской кодировки
permit tcp any host images.qq.ru range 8100 8104
permit udp any any eq ntp ; все машины могут получать время с внешних ntp
permit tcp any any range 40000 44999 ; уже не помню для чего:-((
permit tcp any any eq ident
permit icmp any any
permit tcp any eq ftp-data any gt 1024; для active-ftp
deny ip any any log
===================

4.3>Q: Как сделать transparent-proxy ?

>A: (DY)

Все описано на [61]http://squid.nlanr.net/Squid/FAQ/FAQ-17.html

4.4>Q: Dynamic ACL.

>A: Прислал (Oleh Hrynchuk)

You can use timed access-lists in IOS 12.x

You will need the router to synch to a clock source
for accuracy though..

for example:

int ser0/0
ip access-group 101 in
!
access-list 101 remark --FOR THE QUAKE 3 PLAYERS AT THE OFFICE--
access-list 101 permit udp any any range 27850 27999 time-range lunchtime
access-list 101 deny any any
!
time-range lunchtime
periodic weekdays 12:00 to 14:00
periodic weekend 00:00 to 23:59
!
ntp source loopback0
ntp server
!

[13.06.2000] 4.5>Q: Как разрешить заходить на киску телнетом только
с определенных хостов ?

>A: (Gosha Zafievsky)

access-list 11 permit host 192.168.1.1
line vty 0 4
access-class 11 in

===========================================================

5. Traffic-shape


===========================================================

5.1>Q: Как зажать исходящий ftp-трафик ?

>A: (Vasily Ivanov)

Для Active-FTP
access-list 115 permit tcp host 123.123.123.123 eq ftp-data any gt 1023
Для Passive-FTP
access-list 115 permit tcp host 123.123.123.123 any eq ftp

5.2>Q: Как сделать traffic-shape на tun ?

>A: (DY)

Вот завалялся кусок рабочего конфига от 4000.

interface Tunnel1
ip address xxx.xxx.xxx.xxx 255.255.255.252
tunnel source aaa.aaa.aaa.aaa
tunnel destination bbb.bbb.bbb.bbb
!
interface Ethernet0
ip address aaa.aaa.aaa.aaa 255.255.255.224 secondary
traffic-shape group 122 32000 8000 8000 1000
!
no access-list 122
access-list 122 permit ip host aaa.aaa.aaa.aaa host bbb.bbb.bbb.bbb
access-list 122 deny ip any any

P.S. Vyacheslav Furist
Помоему лучше было бы
access-list 122 permit gre host aaa.aaa.aaa.aaa host bbb.bbb.bbb.bbb

5.3>Q: Как зажать входящий трафик?

>A: "Boris Mikhailov"

При входе поможет policyroute, если мочи процессора хватит.
Еще добавлю что до 11.2(где-то 12~13) traffic-shap
криво затыкается и не шейпит (очень частый вопрос был раньше).

access-list 180 описывает тpаффик, котоpый надо шейпить

interface Loopback1
ip address 192.168.11.1 255.255.255.255
traffic-shape rate 64000
!
interface Serial0
ip policy route-map incoming-packets
!
access-list 180 permit ip any 192.168.1.0 0.0.0.255
!
route-map incoming-packets permit 10
match ip address 180
set interface Loopback1

5.4>Q: Bandwith, queue

>A: (Alex Bakhtin)

Основным параметром, который влияет на распределение
полосы пропускания при custom queuing, является byte-count. queue length на
это дело влияет мало. Итак. Допустим, у нас есть такой вот queue-list:

c4000-m#sh queueing custom
Current custom queue configuration:

List Queue Args
1 1 byte-count 6000
1 2 byte-count 3000
1 3 byte-count 4500

Остальные очереди по 1500. Понятно, что напрямую bandwith для
каждой из очередей не задается. Заполнение очередей, понятно, происходит на
основании каких-то критериев, которые я в данном случае не
учитываю. Дальше, мы начинаем обходить все 17 очередей начиная с нулевой -

1. Передаем 1500 байт из очереди 0 (если там есть пакеты)
2. Передаем 6000 байт из очереди 1
3. Передаем 3000 байт из очереди 2
4. Передаем 4500 байт из очереди 3
5. Передаем 1500 байт из очереди 4
.....
17. Передаем 1500 байт из очереди 16

Допустим, что мы используем для нашего трафика только первые 4
очереди - в остальные очереди трафик никогда не попадает. Соответвтсенно, в
среднем за один цикл будет передано

S=1500(q0)+6000(q1)+3000(q2)+4500(q3)+1500(q4)=16500 байт

Соответственно, под Q0 будет выделено

B0=1500/16500~=9% BW
B1~=36% BW
B2~=18% BW
B3~=28% BW
B4~=9% BW

То есть реальную полосу пропускания поджелят пропорционально
используемые очереди. Соответственно, реальный bandwith по каждой очереди
задается с помощью параметра byte-count, но indirectly, так как он зависит
от числа используемых реально очередей и от пропускной способности
интерфейса.

Данные значения, разумеется, будут верны только при достаточно
серьезном усреднении. Связано это с тем, что если byte-count исчерпывается
в процессе передачи пакета, пакет все равно передается до конца - то есть
реальная занимаемая полоса будет больше. Все, что написано выше - не более
чем некие теоретические выкладки при работе в идеальных условиях. Реально
все эти значения надо подбирать, анализируя средний размер пакета и не
только;)


5.5>Q: Traffic-shape на Loopback'e, Tunnel'е есть или нет ?

>A: (Alex Bakhtin)

Hекоторое время назад мне понадобился шейпер на
BVI интерфейсе в связи с чем я достаточно серьезно занимался этой
проблемой. Итак.

1. Шейпер работает. В 12.x - <=12.0(2a), в 11.3 тоже до какой-то версии.
2. Шейпер работает криво - шейпит только process-switched пакеты. (btw, это
как раз причина того, что шейпер на группу асинков через policy-route
работает)
3. Шейпер на виртуальных интерфейсах (которыми являются BVI, loopback и
Tunnel) unsupported by Cisco. То есть официально его нет. То, что он
раньше был - это баг такой в парсере конфигов/командной строки, который
позволял его включать. Я открывал по этому поводу кейс в циске - мне
предложили послать реквест на фичу.

Так что, боюсь, про замечательный способ шейпить на лупбаке
придется забыть если используется 11.3 или 12.x:-((

5.6>Q: Как зажать фтп ?

>A: (Alexander Kazakov)

В общем я отдал постоянные 32к для фтп. Все pаботает и вполне меня устpаивает.
фpэйм-pелэй делать пока не стал, буду сначала пpобовать на стендовой кошке.

как обещал - pабочий конфиг:

=== Cut ===
interface Serial2/0
description xxx XXX
ip address aaa.bbb.ccc.ddd 255.255.255.0
no ip route-cache
no ip mroute-cache
bandwidth 128
ipx network B021
ipx accounting
priority-group 2
traffic-shape group 191 32000 8000 8000 1000
!

access-list 191 permit tcp any any eq ftp
access-list 191 permit tcp any any eq ftp-data

priority-list 2 protocol ip medium list 101
priority-list 2 protocol ipx low
priority-list 2 protocol ip high tcp telnet
priority-list 2 protocol ip high udp snmp
priority-list 2 protocol ip high tcp echo
priority-list 2 protocol ip high udp echo

===========================================================

6. Routing


===========================================================

6.1>Q: Есть две Cisco2511, которые должны соединятся двумя линками,
один через serial, второй через async, оба линка по выделенках.
В этом проблем нет, но хочется иметь ОДИH бэкап через коммутирумую
линию. То есть надо, что бы бакап поднимался только тогда когда
ОБА линка пропадут.

>A: (Vasily Ivanov)

ip route 216
Все пpотоколы pутинга имеют метpику <= 200, поэтому данная стpочка появится в
локальной таблице pутинга только когда упадут оба твоих интеpфейса. Когда
main-линк восстановится, она опять будет вытеpта пpотоколами pутинга из
таблицы, и циска начнет отсчитывать dialer idle-timeout до бpосания тpубы.

6.2>Q: Подскажите что надо шепнуть киске, чтобы она аннонсила рипом
на Ethernet ppp-линки с маской /32, а не аггрегатировала
их в подсеть.

>A: Dmitry Morozovsky, Mike Shoyher, Gosha Zafievsky

router rip
version 2
! просто полезно
redistribute static subnets
no auto-summary
! Тоже не помешает
redistribute connected subnets

6.3>Q: OSPF, RIP

>A: (Alex Bakhtin)

router ospf 10
redistribute connected metric 1 subnets route-map only_public_net
redistribute static metric 1 subnets route-map only_public_net
redistribute rip
network 194.186.108.0 0.0.0.63 area 0
!
router rip
version 2
redistribute connected route-map only_public_net
redistribute static route-map ony_public_net
redistribute ospf 10 metric 4
redistribute ospf 200 metric 4
network 194.186.108.0
neighbor 194.186.108.10
neighbor 194.186.108.138
!
Разумеется, стоит ip classless и ip subnet-zero.

6.4>Q: У меня сеть класса C, в которой заняты не все адреса. Если от провайдера
приходит пакет на отсутствующий адрес (или отвалившегося dialup-юзера)
то моя Cisco и Cisco этого провайдера начинают этим пакетом перебрасываться.
Почему это и как от этого избавиться.

>A: (Basil (Vasily) Dolmatov)
У провайдера стоит route на весь ваш класс C.
В следующей (вашей) Cisco прописаны только routes, которые она выяснила из
адресов активных интерфейсов и каких- либо роутинг-протоколов. Остальное
роутится по default route, то есть на провайдера.

Как этого избежать?

В Cisco есть замечательный интерфейс Null0. Конфигурируется он всего одной
командой:
int Null0
ip unreachables

Теперь достаточно добавить еще один route в конфигурацию Cisco (предположим,
что сеть класса C - 193.193.193.0/24)

ip route 193.193.193.0 255.255.255.0 Null 0 100

В этом случае, если адрес используется, и route на него известен Cisco, то имен
но
этот route и будет активен (поскольку его метрика меньше), если же адрес
неизвестен, то активным станет route на Null0 и Null0 ответит на пришедший
пакет icmp !H. То есть, никакого пинг-понга на канале уже не будет.
Кстати, рекомендуется еще прописать такие же routes для private-networks,
это предотвратит их случайное выбрасывание в сторону провайдера.

ip route 10.0.0.0 255.0.0.0 Null0 100
ip route 172.16.0.0 255.240.0.0 Null0 100
ip route 192.168.0.0 255.255.0.0 Null0 100

6.5>Q: Есть два канала к провайдерам, есть две сетки, как сделать, чтобы
каждая сеть ходила по своему каналу ?

>A: (Dmitriy Yermakov)

policy-routing, пример есть на CD.
Для примера ( в очень простом случае )

access-list 110 permit ip aaa.aaa.aaa.0 0.0.0.255 any
access-list 111 permit ip bbb.bbb.bbb.0 0.0.0.255 any
route-map XXXX permit 10
match ip address 110
set default interface Serial 0
route-map XXXX permit 20
match ip address 111
set default interface Serial 1
int eth 0
ip policy route-map XXXX

6.6>Q: Hе поделится ли кто-нибудь URL или просто секретом запуска OSPF
между Gated и Cisco ?

>A: (Alex Bakhtin)

В gated и в Cisco по умолчанию выставлены разные hello/dead интервалы.
Лечится выставлением соответствующих интервалов в gated.

P.S. (DY) в последних GateD может и поправили, deb ip ospf
поможет выяснить.

>A: (Basil (Vasily) Dolmatov)

Ospf yes {
backbone {
authtype none;
interface aaa.bbb.ccc.ddd
cost 1 {
retransmitinterval 5;
transitdelay 1;
priority 0;
hellointerval 10;
routerdeadinterval 40;
};
};
};

import proto ospfase {
ALL ;
};

export proto ospfase type 1 {
proto ospfase {
ALL
metric 1; };
proto static {
All
metric 1; };
proto direct {
ALL
metric 1; };
};

6.7>Q: Есть статический маршрyт: ip route 0.0.0.0 0.0.0.0 Serial 0/0
Как мне исключить его из ospf'ных анонсов?
Убрать redistribute static - не предлагать ;)

>A: (Dmitry Morozovsky)

1. Убрать
default-information originate always, или заменить его на
default-information originate , если таки нужно его куда-то анонсить

2. Отфильтровать ;)
distribute-list out [interface name]
access-list permit 0.0.0.0 0.0.0.0

6.8>Q: Hе мог ли бы кто-нибудь из уважаемых гуру толково объяснить с точки
зрения практики (с небольшим примерчиком), что такое stubby areas и в каких
случаях их введение оправдано?

Правильно ли я понимаю, что они в общем-то нужны для экономии ресурсов роутера?

>A: (Alex Mikoutsky), прислал (Oleh Hrynchuk)

В цисках есть три типа тупиковых арий - stub, totally stub, Not-so-stubby.
Про последние две Халлаби мог и не написать.
Stub - это такая ария, роутерам в которой не нужно знать, куда кидать
пакеты, предназначенные external адресам. Заметь - только external, т.е.
тем, которые сами редистрибьютятся в домен оспф. Вместо этих анонсов ASBR
будет выкидывать дефолт маршрут для посылки на него соответствующих пакетов.
Если такая ария имеет несколько выходов в бэкбон, то каждый ASBR бужет слать
свой дефолт. От тебя зависит, какой из них рассматривать первым, а какой -
вторым. Это делается, ясное дело, метрикой по команде на ASBR: area 1
default-cost где ария 1 - типа stub.
Все остальные маршруты, приходящие из других арий, кроме external будут
анонсироваться.

Totally stub и Not-so-stubby - это специфические цисочные прилады,
помогающие фильтровать также анонсы маршрутов из других арий типа interdoman
(totally stub), однако, только в том случае, если в этой тотально тупиковой
арии нет ни одного external маршрута. Чтобы преодолеть последнее
ограничение, арию можно сделать типа NSSA (начиная с версии 11.3). В
последних случаях в арию вообще будет анонсироваться только дефолт по
команде default-information originate. Так же, как и в предыдущем случае,
ASBRов может быть несколько.
Я понятно написал?

[03.08.2000] 6.9>Q: Hадо подружить на синхронном линке роутеры
Nortel ARN и CISCO-3640. Сейчас они дружат по ppp и rip. Хочется,
чтобы дружили по frame-relay и ospf.

>A: (Sergey Y. Afonin)

Сделано на ARN с BayRS 13.20 и CISCO 3640 IOS version 12.0

Фрагмент конфига ARN (as-boundary-router true к делу не относится,
он говорит то том, что роутер может редистрибутить все, что есть и
не зафильтровано специально; если false - то редистрибутится только
только ospf):

ospf router-id xxx.xxx.xxx.234
as-boundary-router true
area area-id 0.0.0.0
back
back
serial slot 1 connector 1
cable-type v35
bofl disabled
promiscuous enabled
service transparent
circuit-name S11
frame-relay
dlcmi
management-type none
back
default-service
pvc dlci 16
vc-state active
back
ip address xxx.xxx.xxx.218 mask 255.255.255.252
address-resolution arp-in-arp
ospf area 0.0.0.0
mtu 1480
back
arp
back
back
back
back

Фрагмент конфика 3640 (тут тоже лишнее есть, правда):
!
interface Serial2/0
ip address xxx.xxx.xxx.217 255.255.255.252
ip access-group nasprotect out
ip directed-broadcast
encapsulation frame-relay
ip ospf network broadcast
no ip mroute-cache
no keepalive
no fair-queue
frame-relay map ip xxx.xxx.xxx.218 16 broadcast IETF
!
router ospf 13227
router-id aaa.aaa.aaa.234
redistribute connected subnets
redistribute static subnets
network xxx.xxx.xxx.216 0.0.0.3 area 0.0.0.0
!

Под управлением BayRS у Nortel работают так же ASN и роутеры
серии BN, та что, полагаю, и для них подойдет.

===========================================================

7. TACACS,RADIUS,AAA


===========================================================

7.1>Q: Где взять tacas-plus/radius ? В исходниках ?

>A: (Dmitriy Yermakov)

[62]ftp://ftpeng.cisco.com/pub/tacacs оригинальный оригинальный от Cisco (ls та
м не работает, сначала get README, потом get то, что нужно)
ls там работает не во всех каталогах.

[63]ftp://ftp.east.ru/pub/inet-admins - патченный на предмет разных вкусностей
[64]ftp://ftp.vsu.ru/pub/hardware/cisco/tacacs - и еще пропатченный pppd теперь
отдельно от tac+ia, но рядом - tacpppd

[08.09.2000] >A: (Igor Prokopov) Где взять TACACS+ под NT ?

[65]http://www.nttacplus.com NTTacPlus2 (демоверсия доступна для скачивания)
Radius Tacacs+ Available for Windows NT 4.0 and Windows 95/98
Работает с ODBC (Access97), предупреждает e-mail'ом об окончании лимита,
может быть backup-сервером, работать с несколькими CISCO, ведет группы по
привилегиям и т.д.
Полная версия за деньги или на варезах ;)))

[23.01.2001] >A: (Oleh Hrynchuk) AV pairs - [66]http://www.mr.net/~bradley/radi
us/ciscoavpair.html

7.2>Q: Кто знает, как ограничить число запросов киски на login? То есть, если
юзер первый раз неправильно ответил на login/password то сразу сделать hangup
а не спрашивать его еще и еще. Все равно в большинстве скриптов это не
предусмотрено. У меня киска упорно спрашивает три раза. Листание "Command
Summary" успеха не принесло. Может это в такаксе надо концы искать?

>A: (Alexey Kshnyakin)

conf t; tacacs-server attempts N

7.3>Q: Как снимать/считать статистику по интерфейсам ?

>A: (Dmitriy Yermakov)

снимать можно так

conf t
int X
ip accounting

разрешить rsh на киску, примерно так

ip rcmd rsh-enable
ip rcmd remote-host enable

и, по крону :)

/usr/bin/rsh cisco clear ip accounting
/usr/bin/rsh cisco sh ip accounting checkpoint > `/bin/date +"%Y%m%d%H%M"`
/usr/bin/rsh cisco clear ip accounting checkpoint

Поскольку возникли вопросы, то еще вариант.

>A: (Konstantin D. Myshov)

1) Скрипт:

#!/bin/sh
#[skip]

rsh -l loger cisco.domain.adr clear ip accounting
rsh -l loger cisco.domain.adr sh ip accounting checkpoint

#[skip до конца скрипта :-)]

2) Hа киске говоришь:

username specloger privilege 8 password 0 plane_text_password
! Пароль зашифруется и через password 7 показываться будет по sh ru
ip rcmd rsh-enable
ip rcmd remote-host loger REMOTE_IP_ADDRESS REMOTE_USER_NAME enable 8
privilege exec level 8 show ip accounting checkpoint
privilege exec level 1 show ip
privilege exec level 8 clear ip accounting

P.S. (Andrey Kuksa) [email protected]

включить бы еще
no ip rcmd domain-lookup

P.P.S. (DY) Cisco проверяет in-addr.arpa для хоста,
с которого пришел запрос на RSHELL. Если IN PTR нету - не пускает.
no ip rcmd domain-lookup эту проверку выключает.
По умолчанию - включено.

P.P.P.S. см также 0.4>Q:

7.4>Q: Как заменить "Username:" на "login:" ?

>A: (DY)

Существует 2 варианта -
1. В tac+ia можно переопределить этот prompt.
2. aaa authentication username-promt

[03.08.2000] 7.5>Q: rsh cisco show version получаю что-то типа Undefined error

>A: (Alex Bakhtin)

debug ip tcp rcmd

[14.08.2000] 7.6>Q: не работает aaa authentication banner "..." при использова
нии tacacs
или radius для аутентикации

>A: (Alexandre Snarskii), прислал (Vladimir Kravchenko)

попробовать использовать banner login "..."

[08.09.2000] 7.6>Q: Проброс на ifcico, разные порты - разные хосты.

>A: (DY) закрываем тему ifcico.

tacacs.conf (tac+ia-0.9x)

group = fido {
after authorization "/usr/local/tacplus/emsi $user $port"
login = none
service = exec { }
}

user = \*\*EMSI_INQC816 { member = fido }
user = \*\*EMSI_INQC816q { member = fido }
user = \*\*EMSI_INQC816\*\*EMSI_INQC816q. { member = fido }

cat /usr/local/tacplus/emsi
#!/bin/sh
if [ "X$2X" = "Xtty3X" ]
then
echo noescape=true
echo autocmd="telnet host_1 60179 /stream"
else
echo noescape=true
echo autocmd="telnet host_2 60179 /stream"
fi
exit 2

[27.12.2000] 7.7>Q: Как при аутентикации на радиусе пользователю назначить in-o
ut ip
access-list на его интерфейсе ?

>A: (Michael Korban)

Framed-Filter-Id="blabla.in"
Framed-Filter-Id="blabla.out"

P.S. (DY) для TACACS'a - читать userguide, там написано.

===========================================================

8. Memory


===========================================================

[2000.10.12] 8.0> Общее.

>A: (Alex Bakhtin)

Объем памяти, опpеделенный IOSом показывается в выводе команды sh ver
в виде двух чисел MEM1/MEM2, где MEM1 - это объем process memory а MEM2 -
это объем IO memory.

p.s. (DY) for example

6144K/2048K - всего 8Mb
126976K/4096K - всего 128Mb

8.1>Q: А какие симы можно ставить в CISCO ? А то я все пеpепpобовал, ни один
не подходит. :-(

>A: (Vasily Ivanov)

Hа симах должны быть пpавильно pаспаяны пеpемычки, указывающие оpганизацию
сима и скоpость чипов в наносекундах (большинство китайских пpоизводителей эти
пеpемычки не pаспаивают). Вот табличка, котоpая поможет вам это сделать:
Размеp Оpганизация 68 67 66 11
4Mb 512k*8/9 X X X X
4Mb 1M*2/4/16/18 - X X -
8Mb 2M*8/9 - X - X
16Mb 2M*8/9 X X - X
16Mb 4M*2/4/16/18 - X - -
Hаны 69 70
50ns X X
60ns - -
70ns X -

Знаком [X] помечены контакты, котоpые необходимо соеденить с 72м контактом
сима, обычно он выведен уже в непосpедственной близости от пеpемычек. [-] -
свободный контакт. В настоящее вpемя можно без пpоблем купить 4х метpовые симы
с оpганизацией 1M*2/4/16/18 и 16ти метpовые с оpганизацией 4M*2/4/16/18. 8ми
метpовые симы со стандаpтной оpганизацией 1M*2/4/16/18 в pутеpах CISCO не
pаботают !!! Также как и EDO RAM.

NB !!! В 25хх симы без паpитета _pаботать_не_будут_ ! Hикогда.

>A: (Leonid Kirillov)

От себя добавлю маленькую попроавку:
1. SIMM должен иметь скорость меньшую либо равную скорости RAM на мамке;
2. Имеются мамки 2 видов: старые и новые. В старых нужны SIMM с четностью, в
новых - нет, так как это выключено на мамке. Отличие очень простое - не запаяна
пятая микросхеми памяти. Где ее искать - нарисовано на картинке:
--------------------------------|
|
=======SIMM================== |
|
RAM1 RAM2 RAM3 RAM4 par |
par |
|
Cisco 2501

3. Двухбанковый SIMM видится как однобанковый. Таким образом я делал себе 16Мб
памяти из 32 (очень было нужно:-) Работает нормально.

>A: (Kirill Osovsky)

Еще немного о SIMM'ах.
Для 1600 - четность нежелательна - работать они будут, но тогда отвалится
on-board DRAM. Dual bank 8 Mb видится и работается как 8 Мб
Для 3620 - четность (насколько я понял) безразлична. Дуал банк 8 Мб видится как
дуал банк, но работать 3620 с ним не будет (не положено по инструкции)
3640 - работает с дуал банк.

>A: (Dmitry Morozovsky)

Еще дополнение: 36xx работает с EDO (3640 точно, 3620. кажется, тоже). 3640
при постановке четного количества одинаковых симмов переходит в 64разрядный
режим, что увеличивает производительность, но также увеличивает и расход памяти
в связи с alignment.

P.S. (Basil Dolmatov)
3620 понимает только FPM.
3640 понимает и EDO тоже.

8.2>Q: Подскажите где еще встречаются эти 100-пиновые DIMM'ы, которые в
2600 стоят. Или где их можно купить? За две тонны баксов не предлагать.

>A: (Dmitry Morozovsky)

Подходит память для HP LJ 4000 (100pin EDO SODIMM). Кроме того, можно брать
память у практически любого дилера Micron, Transcend, Kingston. У этих --
просто по каталогу.

P.S. Это же относится и к MC3810.

[04.07.2000] 8.3>Q: А не подскажет ли кто-нибудь, какая SIMM-память подходит
к серии 4000 (конкретнее, 4500M+) и чего на ней пропаять?
Имеется в виду: edo/fpm, четность, паритет, число чипов.

>A: (Alexander Voropay)

Для 4500 подходит та же самая память, что и для 2500,
и FLASH и DRAM. Packet DRAM та же самая, что и System
DRAM, и чем больше тем лучше :-)

А конкретно, 72-pin SIMM, NoEDO (FPM), real Parity.
Обязательно должны стоять перемычки ID. Лучше
брать -60ns хотя для System DRAM подойдет и -70ns.


===========================================================

9. NTP, TZ


===========================================================

9.1>Q: Как правильно выставить timezone и синхронизировать время на киске

>A: (Vasily Ivanov)

вот пpимеp для Омска (UTC+6):
clock timezone OMT 6
clock summer-time OMTS recurring last Sun Mar 3:00 last Sun Oct 3:00

И еще:

1) часы устанавливаются, если только на тайм-сеpвеpе вpемя выставлено
коppектно, если же он находится в пpоцессе подведения своих часов, то циска
будет ждать окончания этого пpоцесса.

2) выставление часов пpоисходит не сpазу, а 5-10 минут. Подожди немного.

>A: (Alec Voropay) для Москвы

clock timezone MSK 3
clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 3:00

9.2>Q: А как заставить киску синхронизировать время с каким-либо сервером и быт
ь
самой ntp-сервером ?

>A: (Maksim Malchuk)

ntp source interfaceX
ntp master 3
ntp server aaa.bbb.ccc.ddd
ntp server eee.fff.ggg.hhh
ntp server iii.jjj.kkk.lll

P.S. (Alex Bakhtin)

ntp master 3 - это значит, что если пpопадут все ntp servers, котоpые пpописаны
в конфиге,
киска будет считать себя сеpвеpом со stratum 3.

P.P.S. (Sergey Romantsov)

Ntp master - указывает, что router является одним из источников "точного"
времени, поэтому если необходимо чтобы он раздавал время другим устройствам,
необходимо его объявить как master с соответствующей величиной stratum.
stratum=1 : это атомные часы
stratum=2 : усторйство непосредственно подключено к атомным часам
stratum=3 : устройство связано с устройством ( см выше)
и так далее... до 15.
stratum=16 : устройство не является авторизованным источником времени.

===========================================================

10. NAT


===========================================================

10.1>Q: Можно как-нибудь сделать на киске 2511 с
IOS 11.3, чтобы все соединения по FTP, WWW с локальной сетки (имеющей public
интернет адреса)
устанавливались с адреса скажем 62.244.63.114, это связано с тем, что при
установлении соединения с этого адреса пакеты возвращаются через спутник.